ニュース	2002年8月22日　11:29 PM 更新

MSのOffice Web Componentsに脆弱性。修正ファイルを配布

　マイクロソフトは、ウェブブラウザを介してOfficeの機能を提供する「Office Web Components」（OWC）に、セキュリティ上の脆弱性があると発表した。悪意のあるウェブサイトやHTMLメールにより、外部からプログラムを実行されたり、ユーザのシステム上のファイルを読み出されたりするおそれがある。

　脆弱性の原因は、OWCに含まれるActiveXコントロールが提供するHost・LoadText・Copy/Pasteの各関数・メソッドにある。

　1つ目の脆弱性は、Host()機能にある。攻撃者が指定したコマンドをターゲットのPC上で実行させてしまう。2つ目はLoadText()メソッドで、PC上のファイルを読みとられてしまうおそれがある。これら二つは、深刻度「高」に設定されている。

　3つ目の脆弱性はCopy()/Paste()メソッドのもの。OWCのActiveXコントロールがInternet Explorerのセキュリティレベル設定（スクリプトによる貼り付け処理の許可）を無視して動作するため、外部からクリップボードの内容を読みとられるおそれがある。

　OWCは、スタンドアロンでダウンロードできるほか、マイクロソフトのソフトウェア製品にも含まれており、この脆弱性による影響を受けるのは、以下の13製品におよぶ。

• Microsoft BackOffice Server 2000
  
• Microsoft BizTalk Server 2000
  
• Microsoft BizTalk Server 2002
  
• Microsoft Commerce Server 2000
  
• Microsoft Commerce Server 2002
  
• Microsoft Internet Security and Acceleration Server 2000
  
• Microsoft Money 2002
  
• Microsoft Money 2003
  
• Microsoft Office 2000
  
• Microsoft Office XP
  
• Microsoft Project 2002
  
• Microsoft Project Server 2002
  
• Microsoft Small Business Server 2000
  

　これらの脆弱性についての修正プログラムは、マイクロソフトのウェブサイトで配布されているほか、OfficeXP Service Pack2にも収録されている。

関連リンク
マイクロソフト

[記事提供：RBBTODAY ]

---